El ataque al puente Axelar y Secret Network: una vulnerabilidad de "minteo infinito" provocó una pérdida de 4,67 millones de dólares

El 19 de junio, el proyecto blockchain Axelar confirmó oficialmente el hackeo del puente cross-chain que conecta su red con el protocolo Secret Network. El atacante logró retirar aproximadamente $4,67 millones explotando una vulnerabilidad crítica conocida como el "bug de minteo infinito" (infinite mint bug).
Detalles del ataque
Según el análisis realizado por el equipo de Common Prefix, desarrollador principal de Axelar, el bug fue detectado en un contrato inteligente modificado ICS-20 que operaba en el lado de Secret Network dentro de la conexión IBC de Cosmos. El problema radicaba en que el algoritmo que crea versiones "envueltas" de activos (saToken) no verificaba desde qué canal específico provenía la transacción entrante. Esto permitió al atacante falsificar depósitos y emitir tokens sin respaldo real.
Dado que las operaciones en la red no requerían permiso, el atacante lanzó su propia cadena Cosmos con un solo validador. Desde esta cadena, envió paquetes con montos falsos de activos, lo que llevó al robo de fondos. Cabe destacar que el incidente pasó desapercibido durante siete días.
Reacción y consecuencias
El comité de emergencia de Axelar desactivó de inmediato las conexiones Secret y Secret-SNIP para detener transferencias no autorizadas adicionales. El equipo del proyecto ya está coordinando acciones con exchanges y autoridades policiales para rastrear los fondos robados y su posible recuperación.
Es importante destacar que el incidente afectó solo a monedas específicas: saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB y sawstETH. El protocolo principal de Axelar, otras conexiones IBC y los activos nativos de Secret Network permanecieron intactos.
Mercado y precio de SCRT
A pesar de la gravedad del hackeo, el mercado reaccionó de manera inesperada. El precio del token Secret (SCRT) subió casi un 6% en el momento, alcanzando los $0,06. Tras una corrección, el activo cotiza alrededor de $0,058, manteniendo un aumento diario de aproximadamente el 3%. La capitalización de mercado es de unos $20 millones. Para contexto: en su máximo histórico de octubre de 2021, SCRT valía $10,64, un 99,5% por encima de las cotizaciones actuales.

Comentario de expertos
Este incidente es un recordatorio más de que incluso en ecosistemas maduros, como Cosmos IBC, persisten puntos débiles en la implementación de contratos inteligentes. La vulnerabilidad del "minteo infinito" es un error clásico que surge de una validación insuficiente de los datos de entrada. Para los inversores, es una señal: siempre verifiquen qué activos tienen en forma "envuelta" y qué tan seguro es el puente por el que pasaron. En este caso, la rapidez del equipo de Axelar y su transparencia en la investigación son una señal positiva, pero el mercado aún no se apresura a entrar en pánico, lo que podría deberse a la capitalización relativamente pequeña de los activos afectados.